メモOFF: /var/log/messagesがauditログで埋まる

2012-08-15

/var/log/messagesがauditログで埋まる

いつしか/var/log/messagesにこんなログが毎分吐かれて埋まってしまうようになりました・・・

Aug  1 04:03:02 clbackup kernel: type=1101 audit(1343761382.089:923481): user pid=6459 uid=0 auid=0 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1103 audit(1343761382.090:923482): user pid=6459 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1006 audit(1343761382.091:923483): login pid=6459 uid=0 old auid=0 new auid=0 old ses=1010 new ses=147330
Aug  1 04:03:02 clbackup kernel: type=1101 audit(1343761382.091:923484): user pid=6458 uid=0 auid=0 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1103 audit(1343761382.091:923485): user pid=6458 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1006 audit(1343761382.091:923486): login pid=6458 uid=0 old auid=0 new auid=0 old ses=1010 new ses=147331
Aug  1 04:03:02 clbackup kernel: type=1105 audit(1343761382.133:923487): user pid=6458 uid=0 auid=0 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1105 audit(1343761382.134:923488): user pid=6459 uid=0 auid=0 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: type=1104 audit(1343761382.182:923489): user pid=6459 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
Aug  1 04:03:02 clbackup kernel: printk: 3 messages suppressed.
Aug  1 04:03:02 clbackup kernel: type=1104 audit(1343761382.211:923491): user pid=6458 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

実行されているのはcronだし、res=successだしログとしては必要なさそうなので止めたいものです
ということで調べてみるとこんな記事に行き着きました。
/etc/audit/audit.rulesの-Dとなっているところを-e 0に置き換えてあげれば良いよってことなので、置換してauditdを起動、停止

sed -i "s/-D/-e 0/" /etc/audit/audit.rules
service auditd start
service auditd stop

としてあげれば出力されなくなりましたよヾ(*･ω･)ｼ

2012-08-15

/var/log/messagesがauditログで埋まる

0 件のコメント:

コメントを投稿